Имеется Java-чат ТОТ самый Волано на нем имеется интересная авторизация
МойIPort (TCP)->64.247.49.49:8000--SYN
64.247.49.49:8000-> МойIPort (TCP)--SYN
далее я шлю "полезный"
МойIPort-> 64.247.49.49:8000 (TCP)---AU
00 90 D0 3B A2 25 00 02 B3 2E 7C 6A 08 00 45 00 | .ђР;ў%..і.|J..E.
00 E6 65 01 40 00 80 06 00 00 D4 1F 67 B4 40 F7 | .жE.@.Ђ...ФGґ@ч
31 31 05 3B 1F 40 D7 BC 48 26 02 90 72 BB 50 18 | 11.;@ЧјH&.ђR»P
FF FF AE D4 00 00 00 01 00 00 00 01 00 0B 4B 61 | яя®Ф..........KA
76 6B 61 7A 20 43 68 61 74 00 05 32 2E 36 2E 34 | VKAZ CHAT..2.6.4
00 1A 68 74 74 70 3A 2F 2F 77 77 77 2E 6B 61 76 | .HTTP://WWW.KAV
6B 61 7A 63 68 61 74 2E 63 6F 6D 2F 00 37 68 74 | KAZCHAT.COM/.7HT
74 70 3A 2F 2F 77 77 77 2E 6B 61 76 6B 61 7A 63 | TP://WWW.KAVKAZC
68 61 74 2E 63 6F 6D 2F 76 6F 6C 61 6E 6F 2F 77 | HAT.COM/VOLANO/W
65 62 61 70 70 73 2F 52 4F 4F 54 2F 76 63 63 6C | EBAPPS/ROOT/VCCL
69 65 6E 74 2F 00 0F 4D 69 63 72 6F 73 6F 66 74 | IENT/..MICROSOFT
20 43 6F 72 70 2E 00 19 68 74 74 70 3A 2F 2F 77 | CORP..HTTP://W
77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 6F 6D | WW.MICROSOFT.COM
2F 00 05 31 2E 31 2E 34 00 04 34 35 2E 33 00 0A | /..1.1.4..45.3..
57 69 6E 64 6F 77 73 20 4E 54 00 03 35 2E 30 00 | WINDOWS NT..5.0.
03 78 38 36 | .X86

И ТУТ НАЧИНАЕТСЯ САМОЕ ИНТЕРЕСНОЕ он мне шлет!
08 87 FC 63 39 EC 32 79 D4
А я ему отвечаю
2F 30 2D 02 14 7F 62 95 72 81 8E 56 72 9A 8C 7C
70 7C C2 FA 8C 62 13 C5 D9 02 15 00 88 38 DA EF
29 83 5B 38 2D 75 D2 AF D0 53 35 D3 22 4E 1C 24
после этого авторизация считается выполненной!
ну чуток поэкспериментировав "зоркий" сокол обнаружил что первые байты есть длинна последующей строки, отсюда имеет 2 сессии

1----------------------------212.31.103.180:1339-мойIPort
мне 87 FC 63 39 EC 32 79 D4
от меня
30 2D 02 14 7F 62 95 72 81 8E 56 72 9A 8C 7C 70
7C C2 FA 8C 62 13 C5 D9 02 15 00 88 38 DA EF 29
83 5B 38 2D 75 D2 AF D0 53 35 D3 22 4E 1C 24
-----------------------------
2----------------------------212.31.103.180:1337-МойIPort
мне F6 C5 22 3D A6 B6 BF A7
от меня
30 2C 02 14 28 EA F2 CB 32 AB 4B 65 5B 6A E3 CB
73 3C F9 CF 39 69 85 1B 02 14 2C 46 B1 B4 5D 55
55 89 6B C9 F1 C8 FE 06 C8 51 42 73 55 B0
-----------------------------
заметим что во второй сессии я послал на один байт меньше! У кого нибудь есть идеи по методу формирования ответа?

//---------------------------------------------------------------------
P.S. (поправьте если я не прав)
ну а для экспериментаторов
там стоит автобан(система автоматического блокирования IP) насколько я понял после неправильной авторизации!

рассмотрим схему
1.Syn>
2.Syn<
3.посылка палезного блока!
4.прием строки
5.посылка ответа

где то мы "палимся" и попадаем в автобан, ну идея такова проверить хде идет автобан и откуда берется IP для бана, предположим что на 3-ем шаге,что есть маловероятно, тогда получается что если для третьего шага я скрафтю пакет с левым source-IP то будет заблокирован этот IP.... , ну тогда вырисовывается "киллер", лучше если для бана используется неправильный ответ на 5 шаге тогда killer вырисовывается в "красках" и все выглядит логично! Вообщем море для фантазии!